KR20050002628A - System and method for automatic negotiation of a security protocol - Google Patents
System and method for automatic negotiation of a security protocol Download PDFInfo
- Publication number
- KR20050002628A KR20050002628A KR1020040049661A KR20040049661A KR20050002628A KR 20050002628 A KR20050002628 A KR 20050002628A KR 1020040049661 A KR1020040049661 A KR 1020040049661A KR 20040049661 A KR20040049661 A KR 20040049661A KR 20050002628 A KR20050002628 A KR 20050002628A
- Authority
- KR
- South Korea
- Prior art keywords
- security
- protocol
- node
- external
- internal
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Multi Processors (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
본 발명은 네트워크 컴퓨팅 기술에 관한 것으로, 특히 보안-인에이블된 도메인과 하나 이상의 익스터널 노드 사이의 보안 프로토콜의 자동 협상에 관한 것이다.TECHNICAL FIELD The present invention relates to network computing technology, and more particularly, to automatic negotiation of a security protocol between a security-enabled domain and one or more external nodes.
네트워킹 기술의 발전으로 네트워크 관리자 등은 네트워크 및 기타 설비(installation)에 대한 보안 컨트롤을 보다 정교하게 유지할 수 있게 되었다. 예를 들어, Microsoft Windows™NT 2000 및 관련 제품은 관리자가 Active Directory™(AD) 구조를 이용하여 보안-인에이블된 네트워크 도메인을 전개(deploy)할 수 있도록 한다. 마찬가지로 공지의 커베로스(Kerberos) 네트워크 표준도 네트워크 내의 노드들이 키/인증 플랫폼을 이용하여 서로 인증할 수 있도록 한다. 이러한 오프레이팅 기술을 이용함으로써, 네트워크 관리자는 네트워크 서버로부터 예를 들어 규칙들, 애플리케이션, 패치, 드라이브 및 기타 자원들을, 안전한 방식으로 개별 워크스테이션 또는 기타 클라이언트에 대해 일률적인 설치를 위해 푸시(push)할 수 있다. 상기한 보안-인에이블된 도메인 내의 모든 머신들은 이들 및 기타 타입의 데이터의 전송을 투명(transparent)한 방식으로 식별 및 인증할 수 있다.Advances in networking technology have enabled network administrators and others to more precisely maintain security controls for networks and other installations. Microsoft Windows NT 2000 and related products, for example, enable administrators to deploy security-enabled network domains using the Active Directory ™ (AD) architecture. Similarly, the known Kerberos network standard allows nodes in a network to authenticate each other using a key / authentication platform. By using this off-rating technique, network administrators can push rules, applications, patches, drives and other resources from network servers, for example, to a uniform installation to individual workstations or other clients in a secure manner. can do. All machines in the security-enabled domain described above can identify and authenticate the transmission of these and other types of data in a transparent manner.
그러나, 워크스테이션에 대해 규칙, 애플리케이션 또는 기타 자원을 전달하는 것은 노드가 상기한 보안-인에이블된 도메인 외측에 존재하는 경우에는 훨씬 어려워진다. 예를 들어, 한 회사 내의 LAN 상에 수개의 컴퓨터가 존재하는 한편, Active Directory™ 또는 기타 보안-인에이블된 도메인에 속하지 않는 원격지 내의 컴퓨터와도 상호작용하는 경우가 있을 수 있다. 상기한 도메인에 대해 인터널인 머신과 그 외측의 머신 사이의 접속 확립에는 상호 지원되는 보안 프로토콜에 대한 합의가 있어야 하므로, 보안 도메인의 경계에서 통신하는 것은 보다 복잡하게 된다.However, passing rules, applications, or other resources to the workstation becomes much more difficult if the node is outside of the above security-enabled domain. For example, there may be several computers on a LAN within a company, while also interacting with computers in remote locations that do not belong to Active Directory ™ or other security-enabled domains. The establishment of a connection between a machine that is internal to the domain and a machine outside of that domain requires agreement on mutually supported security protocols, so communication at the boundary of the security domain becomes more complicated.
따라서, 시스템 관리자 등은 세션이 시작되기 전에 인터널 머신과 익스터널 머신 사이에 호환되는 프로토콜을 식별함으로써 익스터널 에이전트 또는 노드의 보안-인에이블된 도메인으로의 진입(entry)을 구성하기 위해 시도해야만 한다. 예를 들어, 익스터널 에이전트는 TLS(transport layer security) 프로토콜, 커베로스-기반 프로토콜, SSL(secure socket layer) 또는 기타 프로토콜을 이용하여 상기한 보안-인에이블된 도메인 내의 관리 서버와 통신하도록 구성될 수 있다. 상기한 머신은 나아가 그 프로토콜, 즉 디폴트 프로토콜 내에 프로토콜 장애(failure)를 표시하고 상기한 익스터널 노드 또는 에이전트에 대해 프로토콜의 스위칭을 요청하거나 또는 다른 응답을 할 수도 있다. 따라서, 보안, 트랜스퍼 및 기타 프로토콜의 수동 세팅 또는 조정이 필요하며, 이 프로세스는 많은 시간이 소요될 뿐만 아니라 에러를 유발할 수 있다. 그 외에도 다른 문제가 존재할 수 있다.Therefore, a system administrator or the like must attempt to configure entry of an external agent or node into a security-enabled domain by identifying a compatible protocol between the internal and external machines before the session begins. do. For example, the external agent may be configured to communicate with a management server in the security-enabled domain described above using a transport layer security (TLS) protocol, a Kerberos-based protocol, a secure socket layer (SSL), or other protocol. Can be. The machine may further indicate a protocol failure within its protocol, i.e., the default protocol, and request switching of the protocol or other response to the external node or agent. Thus, manual setting or adjustment of security, transfer, and other protocols is required, and this process can be time consuming and error prone. In addition, other problems may exist.
도 1은 본 발명의 실시예가 동작될 수 있는 네트워크 구조를 예시한 도면.1 is a diagram illustrating a network structure in which an embodiment of the present invention may operate.
도 2는 본 발명의 실시예에 따른 인터널 노드와 익스터널 노드 사이의 협상 프로세스를 예시한 도면.2 illustrates a negotiation process between an internal node and an external node according to an embodiment of the present invention.
도 3은 본 발명의 실시예에 따른 프로토콜 테이블들 사이의 비교를 예시한 도면.3 illustrates a comparison between protocol tables in accordance with an embodiment of the present invention.
도 4는 본 발명의 실시예에 따른 전반적인 프로토콜 협상 프로세싱을 예시한 도면.4 illustrates overall protocol negotiation processing in accordance with an embodiment of the present invention.
<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>
102: 보안-인에이블된 도메인102: security-enabled domain
104: 매니저104: manager
106: 인터널 에이전트106: Internal agent
108: 인증서108: certificate
110: 인증서 기관110: certificate authority
112: 인터넷112: the Internet
114: 익스터널 에이전트114: External agent
116: 인증서116: certificate
본 발명은 전술한 종래기술의 문제점을 해결한 것으로, 일 태양에 따르면, 관리자의 개입을 필요로 하지 않고 자동화된 방식으로, 익스터널 에이전트 또는 노드와의 안전한 통신이 확립되고 식별 인증될 수 있도록 한 보안 프로토콜의 자동 협상 시스템 및 방법이 제공된다. 본 발명의 일 태양에 따르면, 보안-인에이블된 도메인 내의 네트워크 매니저 또는 기타 에이전트 또는 노드가 익스터널 에이전트 또는 노드와의 안전한 접속을 확립하기 위한 시도를 개시할 수 있다. 상기한 요청은 상기한 매니저가 이용가능한 한 세트의 보안 프로토콜을 나타내는 데이터 필드를 포함하고 있다. 익스터널 에이전트는 상기한 요청을 수신하고 상기한 인터널 에이전트 또는 매니저가 이용가능한 프로토콜을 상기한 익스터널 에이전트에 의해 지원되는 한 세트의 프로토콜과 비교한다. 이용가능한 프로토콜들 사이에 매칭이 발견되면, 선택된 프로토콜에 기초하여 통신이 진행되게 된다. 본 실시예에서, 상기한 각각의 익스터널 에이전트 및 인터널 에이전트는 키, 인증서 또는 기타 인증 메커니즘을 통해 서로 인증할 수 있다.SUMMARY OF THE INVENTION The present invention solves the problems of the prior art described above, and according to one aspect provides a secure communication with an external agent or node that can be established and authenticated in an automated manner without requiring administrator intervention. An autonegotiation system and method of a security protocol are provided. In accordance with one aspect of the present invention, a network manager or other agent or node in a security-enabled domain may initiate an attempt to establish a secure connection with an external agent or node. The request includes a data field indicating the set of security protocols available to the manager. The external agent receives the request and compares the protocol available to the internal agent or manager with a set of protocols supported by the external agent. If a match is found between the available protocols, then communication proceeds based on the selected protocol. In this embodiment, each of the external agent and the internal agent can authenticate each other through a key, certificate, or other authentication mechanism.
<실시예><Example>
도 1은 본 발명의 실시예에 따른 프로토콜 협상 플랫폼 및 방법이 수행될 수 있는 네트워크 구조를 예시한 것이다. 도시된 바와 같이, 예시된 실시예에서는, 한 세트의 클라이언트, 서버, 에이전트 또는 기타 노드 또는 머신들이 보안-인에이블된 도메인(102)에서 동작한다. 보안-인에이블된 도메인은 본 실시예에서는 예를 들어, Microsoft Windows™ Active Directory™, 커베로스(Kerberos) 또는 기타 인증서-기반 또는 키-기반 도메인, 또는 기타 폐쇄 또는 안전 분산 디렉토리 또는 기타 환경이거나 또는 이들을 포함할 수 있다. 상기한 보안-인에이블된 도메인 내에는 예시를 위해 인터널 매니저(104)가 존재하며, 이것은 본 실시예에서 한 세트의 인터널 에이전트(106)(A1, A2, ..., AN으로 도시됨; N은 임의의 수) 뿐만 아니라 서버 또는 기타 노드이거나 이들을 포함할 수 있다.1 illustrates a network structure in which a protocol negotiation platform and method according to an embodiment of the present invention may be performed. As shown, in the illustrated embodiment, a set of clients, servers, agents, or other nodes or machines operate in a security-enabled domain 102. The security-enabled domain is, for example, Microsoft Windows ™ Active Directory ™, Kerberos or other certificate-based or key-based domain, or other closed or secure distributed directory or other environment in this embodiment, or These may be included. Within the security-enabled domain described above is an internal manager 104 for illustration, which is shown in this embodiment as a set of internal agents 106 (A1, A2, ..., AN). N may be any number) as well as a server or other node or include them.
본 실시예에서 상기한 세트의 인터널 에이전트(106)는 추가의 서버, 워크스테이션 또는 기타 클라이언트, 또는 상기한 보안-인에이블된 도메인(102) 내에서 동작하며 상기한 인터널 매니저(104)와 통신하는 기타 인터널 에이전트 또는 노드로 구성되거나 이들을 포함할 수 있다. 본 실시예에서 상기한 인터널 매니저(104)는 상기한 세트의 인터널 에이전트(106)에 대하여 전송 또는 "푸싱" 네트워크 규칙 또는 기타 데이터와 같은 네트워크 관리 기능을 스케줄링 또는 수행하며, 상기한 기타 데이터로는 스토리지(예컨대, RAID 정책, 장애(failover) 평가기준, 메모리 한계), 대역폭 이용에 관한 동작 가이드라인 또는 기타의 규칙 또는 데이터가 있다. 이들 또는 기타 타입의 데이터를 통신하는 경우, 상기한 인터널 매니저(104) 및 상기한 세트의 인터널 에이전트(106)는 보안-인에이블된 도메인의 보안 자원을 이용하여 네트워크의 완전성(integrity) 및 규칙 및 기타 데이터의 배포를 담보한다.The set of internal agents 106 in this embodiment operates within an additional server, workstation or other client, or the security-enabled domain 102 described above and with the internal manager 104 described above. It may consist of or include other internal agents or nodes that communicate. In this embodiment, the internal manager 104 schedules or performs network management functions such as forwarding or "pushing" network rules or other data for the set of internal agents 106, and the other data described above. The furnace may be storage (eg, RAID policy, failover criteria, memory limit), operational guidelines regarding bandwidth usage, or other rules or data. When communicating these or other types of data, the internal manager 104 and the set of internal agents 106 utilize the security resources of the security-enabled domain to ensure the integrity and integrity of the network. Ensure distribution of rules and other data.
본 실시예에서는 상기한 보안-인에이블된 도메인(102)은 예컨대 인증서 108과 같은 인증서를 이용하여 허가 서비스를 제공할 수 있으며, 상기한 인증서는 X.509 또는 기타 표준 또는 포맷에 따라서 구성된 인증서이거나 또는 이를 포함할 수 있다. 키 또는 기타의 메커니즘이 마찬가지로 사용될 수도 있다. 도시된 바와같이, 인증서(108)는 인터널 매니저(104)에 대한 허가 데이터와 연관되어 있거나 또는 이를 제공할 수도 있다. 상기한 세트의 인터널 에이전트(106) 중 어느 하나는 인증서(108)를 검증(verification)을 위해 인증서 기관(110)에 통신함으로써 인터널 매니저(104)로부터 수신한 규칙, 명령 또는 기타 데이터를 허가할 수 있다. 인증서 기관(110)은 그 자신이 보안-인에이블된 도메인(102)의 내부에 위치하거나 또는 도시된 바와 같이 상기한 보안-인에이블된 도메인(102)의 외측에 위치할 수도 있다.In this embodiment, the security-enabled domain 102 may provide an authorization service using a certificate such as, for example, certificate 108, which certificate may be a certificate configured according to X.509 or other standard or format. Or it may include the same. Keys or other mechanisms may likewise be used. As shown, the certificate 108 may be associated with or provide authorization data for the internal manager 104. Any one of the above set of internal agents 106 permits a rule, command or other data received from the internal manager 104 by communicating the certificate 108 to the certificate authority 110 for verification. can do. Certificate authority 110 may itself be located inside security-enabled domain 102 or outside of security-enabled domain 102 described above.
본 실시예에서, 인증서 기관(110)은 인증서(108) 또는 기타 허가 메커니즘을 판독 및 복호하여 그 결과를 상기한 세트의 인터널 에이전트(106) 또는 다른 노드들에 대해 리턴하도록 구성된 서버 또는 기타 노드이거나 또는 이들을 포함할 수 있다. 상기한 세트의 인터널 에이전트(106) 내의 각 노드들은 마찬가지로 상기한 보안-인에이블된 도메인(102)과 호환되는 인증서, 키 또는 기타 허가 데이터와 연관되어 있을 수 있다. 상기한 인터널 에이전트(106) 내의 노드들은 마찬가지로 인증서 또는 기타 메커니즘을 이용하여 서로 통신하여 상호 허가할 수도 있다.In this embodiment, the certificate authority 110 is configured to read and decrypt the certificate 108 or other authorization mechanisms and return the results to the above set of internal agents 106 or other nodes. Or may include them. Each node in the set of internal agents 106 may likewise be associated with a certificate, key or other authorization data that is compatible with the security-enabled domain 102 described above. The nodes in the internal agent 106 described above may likewise communicate with each other using certificates or other mechanisms to permit each other.
도 1에 도시된 실시예에서, 익스터널 에이전트(114)는 마찬가지로 통신 네트워크(112)를 통해 인터널 매니저(104)와 통신하도록 구성될 수도 있다. 상기한 익스터널 에이전트(114)도 서버, 워크스테이션 또는 기타 노드 또는 자원이거나 또는 이들을 포함할 수 있다. 또한, 상기한 익스터널 에이전트(114)는 마찬가지로 허가를 위해 상기한 익스터널 에이전트(114)를 식별하는 인증서(116)와 연관되어 있을 수도 있다. 본 실시예에서, 익스터널 에이전트(114)가 인터널 매니저(104) 또는기타 인터널 노드와 통신을 수행할 수 있는 통신 네트워크(112)로는, 예를 들어 인터넷, 인트라넷, LAN, WAN, MAN(metropolitan area network), SAN, 프레임 릴레이 접속, AIN(Advanced Intelligent Network) 접속, SONET(synchronous optical network) 접속, 디지털 T1,T3,E1,E3 라인, DDS(Digital Data Service) 접속, ATM 접속, FDDI(Fiber Distributed Data Interface), CDDI(Copper Distributed Data Interface) 기타 유선, 무선 또는 광학 접속 중 어느 하나 이상이거나, 이들을 포함하거나 이들과 인터페이스할 수 있다. 익스터널 에이전트(114)는 본 실시예에서 워크스테이션, 서버, 무선 네트워크-인에이블된 장치, 또는 네트워크 통신용으로 구성된 기타 노드, 에이전트 또는 플랫폼이거나 또는 이들을 포함할 수 있다.In the embodiment shown in FIG. 1, the external agent 114 may likewise be configured to communicate with the internal manager 104 via the communication network 112. The external agent 114 may also be or include a server, workstation or other node or resource. In addition, the external agent 114 may likewise be associated with a certificate 116 that identifies the external agent 114 for authorization. In the present embodiment, as the communication network 112 in which the external agent 114 can communicate with the internal manager 104 or other internal nodes, for example, the Internet, intranet, LAN, WAN, MAN ( metropolitan area network (SAN), frame relay connection, Advanced Intelligent Network (AIN) connection, synchronous optical network (SONET) connection, digital T1, T3, E1, E3 line, DDS (Digital Data Service) connection, ATM connection, FDDI ( Fiber Distributed Data Interface (CDI), Copper Distributed Data Interface (CDI) or any other wired, wireless or optical connection, or may include or interface with them. The external agent 114 may be or include a workstation, server, wireless network-enabled device, or other node, agent, or platform configured for network communication in this embodiment.
종래의 크로스-도메인 통신 구현과 달리, 본 발명에 따르면 상기한 익스터널 에이전트(114)는 인터널 매니저(104)와 컨택을 개시하여 상호 호환되는 프로토콜에 기초하여 자동 또는 투명한 방식으로 호환 프로토콜을 서로 선택함으로써 안전 접속을 확립할 수 있다. 도 2에 예시된 바와 같이, 익스터널 에이전트(114)에서 실행되는 익스터널 애플리케이션(130)은 익스터널 협상 엔진(126)을 통해 인터널 매니저와 컨택을 개시할 수 있다. 익스터널 애플리케이션(130)은 데이터 백업 스케줄러, 방화벽, 바이러스 보호 또는 기타 애플리케이션 등과 같은 시스템 유틸리티, 생산성(productivity) 또는 기타 애플리케이션이거나 이들을 포함할 수 있다. 익스터널 애플리케이션(130)은 예를 들어 각종의 태스크를 수행하여 인터널 매니저(104)와 상기한 통신을 수행하기 위한 사용자 프로파일, 업데이트 또는 기타 데이터를 필요로 할 수 있다.Unlike conventional cross-domain communication implementations, according to the present invention, the external agent 114 initiates a contact with the internal manager 104 to exchange compatible protocols with each other in an automatic or transparent manner based on mutually compatible protocols. By selecting, a secure connection can be established. As illustrated in FIG. 2, the external application 130 running on the external agent 114 may initiate a contact with the internal manager through the external negotiation engine 126. The external application 130 may be or include a system utility, productivity, or other application such as a data backup scheduler, firewall, virus protection or other application. The external application 130 may require, for example, a user profile, update, or other data for performing the above-described communication with the internal manager 104 by performing various tasks.
익스터널 협상 엔진(126)은 익스터널 애플리케이션(130)에 의해 요청된 통신을 처리 및 관리하여 상기한 인터널 매니저(104)에 대한 상호 호환가능한 통신 링크를 보안-인에이블된 도메인(102)에 확립할 수 있다. 본 실시예에서는 도시된 바와 같이 상기한 익스터널 협상 엔진(126)은 협상 모듈(1180을 개시 및 관리할 수 있으며, 이것은 공지된 SPNEGO(Simple and Protected GSS-API Negotiation) 프로토콜의 구현예이다. 다른 프로토콜이 사용될 수도 있다. 본 실시예에서, 상기한 협상 모듈(118)은 익스터널 에이전트(114)의 오퍼레이팅 시스템인 예를 들어 애플리케이션 프로그램 인터페이스(API) 또는 기타 메커니즘을 통해 액세스, 개시 또는 발생될 수 있다.The external negotiation engine 126 processes and manages the communication requested by the external application 130 to transfer the interoperable communication link for the internal manager 104 to the security-enabled domain 102. It can be established. In the present embodiment, as shown, the external negotiation engine 126 may initiate and manage the negotiation module 1180, which is an implementation of the known Simple and Protected GSS-API Negotiation (SPNEGO) protocol. Protocols may also be used In this embodiment, the negotiation module 118 described above may be accessed, initiated, or generated via an operating system of the external agent 114, for example, via an application program interface (API) or other mechanism. have.
익스터널 협상 엔진(126)은 마찬가지로 프로토콜 협상 프로세스를 실행하기 위해 익스터널 에이전트(114)에 의해 채용될 수 있는 기타 채널 또는 메시지-기반 채널을 지시하는 익스터널 트랜스포트 지정자(120)(specifier)를 포함 또는 발생시킬 수 있다. 예를 들어, 본 실시예에서 익스터널 트랜스포트 지정자(120)는 Microsoft .NET 아키텍처의 일부분으로서 SSPI(Security Support Provider Interface) 프로토콜을 지정하여, 익스터널 애플리케이션(130) 또는 기타 소프트웨어 또는 모듈들이 예컨대 DLL(dynamic link libraries) 또는 표준 암호(cryptographic) 또는 기타 인코딩 방식을 지원하는 기타 자원에 액세스할 수 있도록 할 수 있다. 익스터널 트랜스포트 지정자(120) 내에 다른 프로토콜이 사용 또는 지정될 수도 있다. 익스터널 협상 엔진(126)은 도 2에 도시된 바와 같이 결과적으로 상기한 데이터 또는 기타 데이터를 지시하는 데이터그램(datagram)을 인터널 매니저(104)에 접속된 인터널 협상 엔진(128)에 통신할 수 있다.The external negotiation engine 126 likewise uses an external transport specifier 120 to indicate other channels or message-based channels that may be employed by the external agent 114 to execute the protocol negotiation process. It can be included or generated. For example, in this embodiment, the external transport specifier 120 specifies the Security Support Provider Interface (SSPI) protocol as part of the Microsoft .NET architecture, such that the external application 130 or other software or modules may be, for example, a DLL. (dynamic link libraries) or other resources that support standard cryptographic or other encoding schemes. Other protocols may be used or specified within the external transport specifier 120. The external negotiation engine 126 consequently communicates a datagram indicating the data or other data to the internal negotiation engine 128 connected to the internal manager 104 as shown in FIG. can do.
인터널 협상 엔진(128)은 마찬가지로 협상 모듈(122) 및 인터널 트랜스포트 지정자(124)를 포함하거나 또는 이들을 인터페이스할 수 있다. 인터널 협상 엔진(128)은 또한 인터널 매니저(104)에서 실행되거나 또는 인터널 매니저(104)에 의해 액세스된 인터널 애플리케이션(132)과 통신할 수 있다. 예를 들어, 인터널 애플리케이션(132)은 시스템 관리, 생산성 또는 기타 애플리케이션이거나 또는 이를 포함할 수 있다. 상기한 인터널 협상 엔진(128)은 인터널 매니저(104)와의 통신 확립 요청을 수신하면, 예를 들어 상기한 SSPI 프로토콜을 이용하여 채널 통신을 확인(confirm)함으로써 인터널 트랜스포트 지정자(124)를 통해 익스터널 에이전트(114)와 메시지-기반 또는 기타 채널을 확립할 수 있다.The internal negotiation engine 128 may likewise include or interface the negotiation module 122 and the internal transport specifier 124. The internal negotiation engine 128 may also communicate with the internal application 132 executed in or accessed by the internal manager 104. For example, internal application 132 may be or include system management, productivity, or other application. When the internal negotiation engine 128 receives a communication establishment request with the internal manager 104, the internal transport designator 124 confirms channel communication using the SSPI protocol, for example. It is possible to establish a message-based or other channel with the external agent 114.
익스터널 에이전트(114)와 인터널 매니저104) 사이에 예비(preliminary) 채널이 확립된 상태에서, 상기한 익스터널 협상 엔진(126) 및 익스터널 협상 엔진(128)은 프로토콜 협상 및 감축(reduction)을 개시할 수 있다. 본 실시예에서, 익스터널 에이전트(114)는 도 3에 도시된 익스터널 프로토콜 테이블(134)을 익스터널 매니저(104)에 전송한다. 상기한 익스터널 프로토콜 테이블(134)은 익스터널 에이전트(114)가 구성된 프로토콜을 지정할 수 있다. 상기한 인터널 매니저(104)가 익스터널 프로토콜 테이블(134)을 수신하면, 상기한 테이블(134)은 인터널 매니저(104)에서 이용가능한 한 세트의 보안 프로토콜을 나타내는 인터널 프로토콜 테이블(136)과 비교된다. 상기한 익스터널 프로토콜 테이블(134)과 인터널 프로토콜 테이블(136) 중 어느 하나는 예를 들어 TLS(transport layersecurity), SSL(secure socket layer), 커베로스(Kerberos), IPSec(secure IP) 또는 기타 이용가능한 프로토콜 또는 표준을 나타내는 필드를 포함하고 있다. 상기한 인터널 매니저(104)에 접속된 협상 엔진(128)은 도 3에 도시된 바와 같이 익스터널 에이전트(114) 및 인터널 매니저(104)에 의해 상호 지원되는 하나 이상의 프로토콜을 식별하게 된다.With a preliminary channel established between the external agent 114 and the internal manager 104, the external negotiation engine 126 and the external negotiation engine 128 are protocol negotiation and reduction. May be initiated. In this embodiment, the external agent 114 transmits the external protocol table 134 shown in FIG. 3 to the external manager 104. The external protocol table 134 may specify a protocol in which the external agent 114 is configured. When the internal manager 104 receives the external protocol table 134, the table 134 indicates an internal protocol table 136 representing a set of security protocols available to the internal manager 104. Is compared with Any one of the above-described external protocol table 134 and internal protocol table 136 may be, for example, transport layer security (TLS), secure socket layer (SSL), Kerberos, secure IP (IPSec) or the like. It contains fields that indicate the protocols or standards available. The negotiation engine 128 connected to the internal manager 104 identifies one or more protocols supported by the external agent 114 and the internal manager 104 as shown in FIG.
본 실시예에서, 협상 엔진(128)은 마찬가지로 프로토콜 비교를 위해 익스터널 에이전트(114)에 접속된 협상 엔진(126)에 인터널 프로토콜 테이블(136)을 통신한다. 협상 엔진(126) 및 협상 엔진(128)은 그 결과 보안-인에이블된 도메인에서 안전 통신을 확립하기 위하여 서로 이용가능한 프로토콜의 선택을 협상한다. 예를 들어, 익스터널 에이전트(114)와 인터널 매니저(104) 양방에 단지 하나의 공통 프로토콜이 이용가능하다면, 익스터널 에이전트(114) 및 인터널 매니저(104)는 TLS 또는 기타 프로토콜 등 해당 프로토콜을 이용하여 세션을 셋업하는데 합의할 것이다. 협상 엔진(126) 및 협상 엔진(128)이 공통 프로토콜이 발견되지 않을 것이라는데 합의한다면, 크로스-도메인 통신을 확립하기 위한 시도는 종료될 것이다. 반대로, 협상 엔진(126) 및 협상 엔진(128)이 다수의 프로토콜이 공통인 것을 확인한다면, 전송(transfer) 속도, 키의 비트 깊이(depth) 또는 기타 보안 메커니즘 등의 네트워크 평가기준 또는 기타의 팩터에 기초하여 사용할 하나의 프로토콜을 선택할 것이다.In this embodiment, the negotiation engine 128 likewise communicates the internal protocol table 136 to the negotiation engine 126 connected to the external agent 114 for protocol comparison. Negotiation engine 126 and negotiation engine 128 as a result negotiate a selection of protocols available to each other to establish secure communication in the security-enabled domain. For example, if only one common protocol is available for both the external agent 114 and the internal manager 104, then the external agent 114 and the internal manager 104 may use the corresponding protocol, such as TLS or other protocols. You will agree to set up the session using. If the negotiation engine 126 and the negotiation engine 128 agree that no common protocol will be found, then the attempt to establish cross-domain communication will end. Conversely, if the negotiation engine 126 and the negotiation engine 128 confirm that multiple protocols are common, network criteria or other factors such as transfer speed, bit depth of key or other security mechanisms, etc. You will select one protocol to use based on.
상호 호환되는 프로토콜을 위치시켜 두면, 익스터널 에이전트(114)와 인터널 매니저(104) 사이에는 안전 세션이 확립될 것이다. 본 실시예에서는 보안을 강화하기 위하여 익스터널 에이전트(114) 및 인터널 매니저(104)는 각각 마찬가지로 인증(authentication) 단계를 수행하여 상대방 노드의 ID, 특권(privilege) 레벨 또는 기타 보안 상세를 검증(verify)할 것이다. 도 1에 도시된 바와 같이, 이것은 인증서 또는 기타 보안 메커니즘을 이용하여 수행될 수 있다. 익스터널 에이전트(114)는 인증서(108)를 인증서 기관(110)에 통신함으로써 인터널 매니저(104)를 인증할 수 있다. 반대로, 인터널 매니저(104)는 인증서(116)를 인증서 기관(110)에 통신함으로써 익스터널 에이전트(114)를 인증할 수 있다. 기타의 보안 메커니즘이 이용될 수도 있다.By placing compatible protocols, a secure session will be established between the external agent 114 and the internal manager 104. In this embodiment, in order to enhance security, the external agent 114 and the internal manager 104 each perform an authentication step similarly to verify the identity, privilege level, or other security details of the other node. will verify. As shown in FIG. 1, this may be done using a certificate or other security mechanism. The external agent 114 may authenticate the internal manager 104 by communicating the certificate 108 to the certificate authority 110. In contrast, the internal manager 104 may authenticate the external agent 114 by communicating the certificate 116 to the certificate authority 110. Other security mechanisms may be used.
본 실시예에서, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 교환되는 데이터의 타입 또는 콘텐트는 이들 2개 노드 사이의 상호 인증에 종속할 것이다. 예를 들어, 네트워크 관리 규칙 또는 파라미터에의 액세스는 인터널 노드 또는 익스터널 노드에 대해 예비되어 있고 단지 주어진 액세스의 특권 레벨만을 지시할 수도 있다. 기타의 인증 규칙 또는 평가기준이 이용될 수도 있다. 동작상의 보안 프로토콜이 확립되고 인증 처리가 완료된 후, 상기한 익스터널 에이전트(114)와 인터널 매니저(104)는 데이터, 애플리케이션, 규칙 또는 기타 정보를 교환하게 된다. 트래픽이 완료되면, 협상 엔진(126) 및 협상 엔진(128)은 상기한 통신 링크를 해제(release) 또는 종료(terminate)한다.In this embodiment, the type or content of data exchanged between the external agent 114 and the internal manager 104 will depend on mutual authentication between these two nodes. For example, access to network management rules or parameters may be reserved for internal nodes or external nodes and may only indicate the privilege level of a given access. Other certification rules or criteria may be used. After the operational security protocol is established and the authentication process is completed, the external agent 114 and the internal manager 104 exchange data, applications, rules or other information. Once the traffic is complete, the negotiation engine 126 and negotiation engine 128 release or terminate the communication link described above.
도 4는 본 발명의 실시예에 따른 전반적인 네트워크 협상 프로세싱을 예시하고 있다. 단계 402에서 프로세싱이 개시된다. 단계 404에서, 익스터널 에이전트(114), 인터널 매니저(104) 또는 기타 클라이언트, 에이전트 또는 노드에의해 보안-인에이블된 네트워크(102)에서의 안전 접속 확립을 위한 요청이 생성된다. 단계 406에서, 상기 안전 접속 확립 요청이 수신측 노드에 전송되며, 여기서 수신측 노드는 인터널 매니저(104), 익스터널 에이전트(114) 또는 기타의 클라이언트, 에이전트 또는 노드일 수 있으며, 상기한 요청은 전송측 노드와 호환되는 제1 프로토콜 세트를 포함하고 있다. 단계 408에서, 상기 요청이 수신측 노드에 수신된다. 단계 410에서, 인터널 매니저(104), 익스터널 에이전트(114) 또는 기타의 클라이언트, 에이전트 또는 노드일 수 있는 수신측 노드가 상기 제1 프로토콜 세트를 상기 수신측 노드의 제2 프로토콜 세트와 비교하여, 이용가능한 프로토콜들 중에서 매칭 여부를 판정한다.4 illustrates overall network negotiation processing in accordance with an embodiment of the present invention. Processing begins at step 402. In step 404, a request is made for establishing a secure connection in the security-enabled network 102 by the external agent 114, the internal manager 104, or other client, agent, or node. In step 406, the secure connection establishment request is sent to a receiving node, where the receiving node may be an internal manager 104, an external agent 114 or other client, agent or node, and the request Contains a first set of protocols that are compatible with the transmitting node. In step 408, the request is received at the receiving node. In step 410, a receiving node, which may be an internal manager 104, an external agent 114, or other client, agent or node, compares the first protocol set with a second protocol set of the receiving node. It determines whether there is a match among the available protocols.
상기한 제1 프로토콜 세트와 제2 프로토콜 세트 사이에 매칭이 발견되면, 상기한 프로세싱은 단계 412로 진행하여, 하나 이상의 매칭 프로토콜이 발견되었는지를 판정한다. 하나 이상의 매칭 프로토콜이 발견되었다면, 단계 414로 프로세싱을 진행하여, 전송 속도, 키의 비트 깊이 또는 기타 보안 메커니즘 등의 프로토콜 평가기준 또는 기타의 팩터에 기초하여 매칭 프로토콜들 중에서 사용할 하나의 프로토콜을 선택한다. 그런 다음, 단계 416으로 프로세싱을 진행하여, 선택된 프로토콜에 기초하여 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 안전 접속 또는 세션이 개시된다. 마찬가지로, 단계 412에서 단지 하나의 매칭 프로토콜이 발견된 경우에도, 단계 416으로 프로세싱을 진행하여, 안전 접속 또는 세션이 개시될 수 있다. 예를 들어, 본 실시예에서 지정된 포트들은 상기한 TCP/IP 또는 기타 통신 또는 기타 프로토콜 아래에서 개방될 것이다.If a match is found between the first protocol set and the second protocol set, the processing proceeds to step 412 to determine whether one or more matching protocols are found. If more than one matching protocol is found, processing proceeds to step 414 to select one of the matching protocols to use based on protocol criteria or other factors such as transmission speed, bit depth of key or other security mechanism. . Processing then proceeds to step 416 where a secure connection or session is initiated between the external agent 114 and the internal manager 104 based on the selected protocol. Similarly, even if only one matching protocol is found in step 412, processing proceeds to step 416 where a secure connection or session can be initiated. For example, the ports designated in this embodiment will be open under TCP / IP or other communications or other protocols described above.
단계 418에서, 상기한 매칭 프로토콜에 따라 핸드쉐이크 및 기타 단계를 진행함으로써 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 프로토콜-특정 교환이 개시되게 된다. 단계 420에서, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 중 어느 하나 또는 양방은 [상기한 익스터널 에이전트(114)의] 대응하는 인증서(116) 또는 [상기한 인터널 매니저(104)의] 대응하는 인증서(108)를 인증서 기관(110)에 절절하게 전송함으로써 대응하는 상대방 노드를 인증할 수 있다. 본 실시예에서, 상기한 인증서 116 또는 인증서 108 또는 기타 보안 데이터는 X.509 표준 또는 기타 표준 또는 포맷에 합치하는 인증서 오브젝트이거나 이들을 포함할 수 있다. 적절한 인증이 완료되면, 단계 422로 프로세싱을 진행하여, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 안전 접속 또는 세션을 수행하게 된다. 예를 들어, 이들 2개 노드 사이에서 시스템 관리 또는 기타의 목적으로 네트워크 또는 기타 규칙이 통신될 수도 있다.In step 418, a protocol-specific exchange is initiated between the external agent 114 and the internal manager 104 by performing a handshake and other steps in accordance with the matching protocol described above. In step 420, either or both of the above-described external agent 114 and the internal manager 104 may have a corresponding certificate 116 (of the above-described external agent 114) or the above-described internal manager ( 104) The corresponding counterpart 108 can be properly sent to the certificate authority 110 to authenticate the corresponding counterpart node. In this embodiment, the certificate 116 or certificate 108 or other secure data described above may be or include a certificate object conforming to the X.509 standard or other standard or format. When proper authentication is completed, processing proceeds to step 422 to establish a secure connection or session between the external agent 114 and the internal manager 104. For example, a network or other rule may be communicated between these two nodes for system management or other purposes.
안전 세션이 완료되면 단계 424로 프로세싱을 진행하여, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이의 안전 접속을 종료 또는 해제한다. 단계 426에서, 프로세싱이 종료되거나 반복 수행되어, 선행 프로세싱 포인트로 리턴하거나 또는 다른 액션을 수행할 수도 있다. 마찬가지로, 단계 410에서 매칭 프로토콜이 확인되지 않은 것으로 판정된 경우, 단계 426으로 진행하여 프로세싱을 종료하거나 반복 수행하거나 또는 선행 프로세싱 포인트로 리턴하거나 또는 다른 액션을 수행할 수도 있다.When the secure session is completed, processing proceeds to step 424 to terminate or release the secure connection between the external agent 114 and the internal manager 104. At step 426, processing may end or be repeated to return to a previous processing point or to perform another action. Similarly, if it is determined in step 410 that no matching protocol is identified, the process may proceed to step 426 to terminate or repeat processing, return to a previous processing point, or perform other actions.
전술한 설명은 예시를 위한 것일 뿐이며 본 기술분야의 전문가라면 구성 및구현시 각종의 수정이 가능할 것이다. 예를 들어, 본 발명을 하나의 익스터널 에이전트(114)와 관련하여 설명하였지만, 복수의 익스터널 에이전트 또는 노드가 보안-인에이블된 도메인(102) 내의 인터널 매니저(104) 또는 기타 클라이언트 또는 노드와의 매칭 프로토콜 협상을 자동적으로 수행하도록 구성할 수도 있다. 마찬가지로, 인증 메커니즘에 있어서도 상기한 메커니즘이 X.509 또는 기타 표준을 이용하여 하나의 인증 엔티티(110)에 의해 지원되고 있는 것으로 설명하였지만, 다수의 인증 엔티티 또는 기타 인증 또는 허가 플랫폼이 채용될 수도 있다. 그밖에도, 하드웨어, 소프트웨어 또는 기타 자원들을 하나만 도시/설명하였지만 이들이 분산되어 있을 수도 있으며, 마찬가지로 분산되어 있는 것으로 도시/설명된 자원들이 결합되어 있을 수도 있다.The above description is for illustrative purposes only, and various modifications may be made to construction and implementation by those skilled in the art. For example, while the present invention has been described in connection with one external agent 114, the internal manager 104 or other client or node in the domain 102 where multiple external agents or nodes are secure-enabled. It may also be configured to automatically perform matching protocol negotiation with the. Similarly, although the mechanism described above is supported by one authentication entity 110 using X.509 or other standards, multiple authentication entities or other authentication or authorization platforms may be employed. . In addition, although only one hardware, software, or other resource is shown / described, they may be distributed, or similarly, the illustrated / described resources may be combined as being distributed.
또한, 보안-인에이블된 도메인(102)에 대해 익스터널인 일방 또는 타방의 노드 또는 에이전트와, 상기한 도메인에 대해 인터널인 노드 또는 에이전트가 보안 프로토콜의 협상을 개시하는 것으로 설명하였지만, 본 발명에 따라 구성된 임의의 노드 또는 에이전트는 상기한 도메인에 대해 익스터널 또는 인터널인지에 무관하게 프로토콜 프로세싱을 개시할 수 있다. 마찬가지로, 인터널 및 익스터널 에이전트의 어느 일방 또는 양방이 상대방 에이전트 또는 노드에 대한 인증을 개시할 수도 있다. 따라서, 본 발명의 범위는 특허청구범위에 의해서만 제한되는 것으로 이해되어야 한다.In addition, although one or the other node or agent that is external to the security-enabled domain 102 and the node or agent that is internal to the domain have been described as initiating negotiation of the security protocol, the present invention has been described. Any node or agent configured according to may initiate protocol processing regardless of whether it is external or internal to the domain. Similarly, either or both of the internal and external agents may initiate authentication for the other agent or node. Therefore, it is to be understood that the scope of the present invention is limited only by the claims.
전술한 바와 같이, 본 발명의 보안 프로토콜의 자동 협상 시스템 및 방법에따르면, 관리자의 개입을 필요로 하지 않고 자동화된 방식으로 익스터널 에이전트 또는 노드와의 안전한 통신 확립 및 인증이 가능하게 된다.As described above, according to the automatic negotiation system and method of the security protocol of the present invention, it is possible to establish and authenticate secure communication with an external agent or a node in an automated manner without requiring administrator intervention.
Claims (62)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/608,334 US7526640B2 (en) | 2003-06-30 | 2003-06-30 | System and method for automatic negotiation of a security protocol |
US10/608,334 | 2003-06-30 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20050002628A true KR20050002628A (en) | 2005-01-07 |
KR101086576B1 KR101086576B1 (en) | 2011-11-23 |
Family
ID=33490832
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020040049661A KR101086576B1 (en) | 2003-06-30 | 2004-06-29 | System and method for automatic negotiation of a security protocol |
Country Status (5)
Country | Link |
---|---|
US (1) | US7526640B2 (en) |
EP (1) | EP1501256B1 (en) |
JP (1) | JP4819328B2 (en) |
KR (1) | KR101086576B1 (en) |
CN (1) | CN1578215B (en) |
Families Citing this family (52)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8244875B2 (en) * | 2002-12-13 | 2012-08-14 | ANXeBusiness Corporation | Secure network computing |
US8332464B2 (en) * | 2002-12-13 | 2012-12-11 | Anxebusiness Corp. | System and method for remote network access |
JP3783142B2 (en) * | 2003-08-08 | 2006-06-07 | ティー・ティー・ティー株式会社 | Communication system, communication device, communication method, and communication program for realizing the same |
CN100389584C (en) * | 2004-12-31 | 2008-05-21 | 北京邮电大学 | A security capability negotiation method for application server |
US8332526B2 (en) | 2005-05-25 | 2012-12-11 | Microsoft Corporation | Data communication protocol including negotiation and command compounding |
US8220042B2 (en) * | 2005-09-12 | 2012-07-10 | Microsoft Corporation | Creating secure interactive connections with remote resources |
CN1980125B (en) * | 2005-12-07 | 2010-08-11 | 华为技术有限公司 | Identity identifying method |
WO2007085175A1 (en) * | 2006-01-24 | 2007-08-02 | Huawei Technologies Co., Ltd. | Authentication method, system and authentication center based on end to end communication in the mobile network |
JP2007207067A (en) * | 2006-02-03 | 2007-08-16 | Nippon Telegr & Teleph Corp <Ntt> | Server/client system, access control method in the system and program therefor |
US20110087792A2 (en) * | 2006-02-07 | 2011-04-14 | Dot Hill Systems Corporation | Data replication method and apparatus |
US9419955B2 (en) * | 2006-03-28 | 2016-08-16 | Inventergy Inc. | System and method for carrying trusted network provided access network information in session initiation protocol |
US7783850B2 (en) * | 2006-03-28 | 2010-08-24 | Dot Hill Systems Corporation | Method and apparatus for master volume access during volume copy |
US20070255958A1 (en) * | 2006-05-01 | 2007-11-01 | Microsoft Corporation | Claim transformations for trust relationships |
DE102006038592B4 (en) * | 2006-08-17 | 2008-07-03 | Siemens Ag | Method and device for providing a wireless mesh network |
US8369212B2 (en) * | 2006-08-29 | 2013-02-05 | Hewlett-Packard Development Company, L.P. | Network path validation based on user-specified criteria |
US20080095178A1 (en) * | 2006-10-12 | 2008-04-24 | Raydon Corporation | Metaprotocol for Network Communications |
GB0623101D0 (en) * | 2006-11-20 | 2006-12-27 | British Telecomm | Secure network architecture |
US7831565B2 (en) * | 2007-01-18 | 2010-11-09 | Dot Hill Systems Corporation | Deletion of rollback snapshot partition |
US8751467B2 (en) * | 2007-01-18 | 2014-06-10 | Dot Hill Systems Corporation | Method and apparatus for quickly accessing backing store metadata |
US7827405B2 (en) * | 2007-01-19 | 2010-11-02 | Microsoft Corporation | Mechanism for utilizing kerberos features by an NTLM compliant entity |
US7975115B2 (en) * | 2007-04-11 | 2011-07-05 | Dot Hill Systems Corporation | Method and apparatus for separating snapshot preserved and write data |
US7716183B2 (en) * | 2007-04-11 | 2010-05-11 | Dot Hill Systems Corporation | Snapshot preserved data cloning |
EP1990969A1 (en) * | 2007-05-09 | 2008-11-12 | Nokia Siemens Networks Oy | Method for data communication and device as well as communication system comprising such device |
US8001345B2 (en) * | 2007-05-10 | 2011-08-16 | Dot Hill Systems Corporation | Automatic triggering of backing store re-initialization |
US7783603B2 (en) * | 2007-05-10 | 2010-08-24 | Dot Hill Systems Corporation | Backing store re-initialization method and apparatus |
US8204858B2 (en) | 2007-06-25 | 2012-06-19 | Dot Hill Systems Corporation | Snapshot reset method and apparatus |
GB0813298D0 (en) * | 2008-07-19 | 2008-08-27 | Univ St Andrews | Multipad encryption |
US10015286B1 (en) * | 2010-06-23 | 2018-07-03 | F5 Networks, Inc. | System and method for proxying HTTP single sign on across network domains |
US8631277B2 (en) | 2010-12-10 | 2014-01-14 | Microsoft Corporation | Providing transparent failover in a file system |
US8516158B1 (en) * | 2011-06-07 | 2013-08-20 | Riverbed Technology, Inc. | Integrating WAN optimization devices with content delivery networks |
US9331955B2 (en) | 2011-06-29 | 2016-05-03 | Microsoft Technology Licensing, Llc | Transporting operations of arbitrary size over remote direct memory access |
US8856582B2 (en) | 2011-06-30 | 2014-10-07 | Microsoft Corporation | Transparent failover |
DE102011079399A1 (en) * | 2011-07-19 | 2013-01-24 | Bayerische Motoren Werke Aktiengesellschaft | Control device for a motor vehicle, programming device and programming system |
US8788579B2 (en) | 2011-09-09 | 2014-07-22 | Microsoft Corporation | Clustered client failover |
US20130067095A1 (en) | 2011-09-09 | 2013-03-14 | Microsoft Corporation | Smb2 scaleout |
US8782395B1 (en) | 2011-09-29 | 2014-07-15 | Riverbed Technology, Inc. | Monitoring usage of WAN optimization devices integrated with content delivery networks |
US9538561B2 (en) | 2013-05-22 | 2017-01-03 | Intel IP Corporation | Systems and methods for enabling service interoperability functionality for WiFi Direct devices connected to a network via a wireless access point |
US9961125B2 (en) | 2013-07-31 | 2018-05-01 | Microsoft Technology Licensing, Llc | Messaging API over HTTP protocol to establish context for data exchange |
US9396338B2 (en) | 2013-10-15 | 2016-07-19 | Intuit Inc. | Method and system for providing a secure secrets proxy |
US9894069B2 (en) | 2013-11-01 | 2018-02-13 | Intuit Inc. | Method and system for automatically managing secret application and maintenance |
US9444818B2 (en) | 2013-11-01 | 2016-09-13 | Intuit Inc. | Method and system for automatically managing secure communications in multiple communications jurisdiction zones |
US9467477B2 (en) | 2013-11-06 | 2016-10-11 | Intuit Inc. | Method and system for automatically managing secrets in multiple data security jurisdiction zones |
US10440066B2 (en) * | 2013-11-15 | 2019-10-08 | Microsoft Technology Licensing, Llc | Switching of connection protocol |
CN103826225B (en) * | 2014-02-19 | 2017-10-10 | 西安电子科技大学 | Identity authentication protocol system of selection in a kind of wireless network |
US10121015B2 (en) * | 2014-02-21 | 2018-11-06 | Lens Ventures, Llc | Management of data privacy and security in a pervasive computing environment |
KR20160046114A (en) * | 2014-10-20 | 2016-04-28 | 삼성전자주식회사 | Data communication method and elctroninc devcie implementing the same |
CN106161224B (en) | 2015-04-02 | 2019-09-17 | 阿里巴巴集团控股有限公司 | Method for interchanging data, device and equipment |
US10936711B2 (en) | 2017-04-18 | 2021-03-02 | Intuit Inc. | Systems and mechanism to control the lifetime of an access token dynamically based on access token use |
ES2806799T3 (en) * | 2017-08-09 | 2021-02-18 | Siemens Mobility GmbH | Procedure to establish a secure communication channel between a first and a second network device |
US10587611B2 (en) | 2017-08-29 | 2020-03-10 | Microsoft Technology Licensing, Llc. | Detection of the network logon protocol used in pass-through authentication |
US10635829B1 (en) | 2017-11-28 | 2020-04-28 | Intuit Inc. | Method and system for granting permissions to parties within an organization |
CN112672363B (en) * | 2019-10-15 | 2023-04-18 | 华为技术有限公司 | Method and device for confirming telemetry capability of stream information |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5008879B1 (en) * | 1988-11-14 | 2000-05-30 | Datapoint Corp | Lan with interoperative multiple operational capabilities |
US5010572A (en) * | 1990-04-27 | 1991-04-23 | Hughes Aircraft Company | Distributed information system having automatic invocation of key management negotiations protocol and method |
US5204961A (en) * | 1990-06-25 | 1993-04-20 | Digital Equipment Corporation | Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols |
US5828893A (en) * | 1992-12-24 | 1998-10-27 | Motorola, Inc. | System and method of communicating between trusted and untrusted computer systems |
US5471461A (en) * | 1993-04-28 | 1995-11-28 | Allen-Bradley Company, Inc. | Digital communication network with a moderator station election process |
US5530758A (en) * | 1994-06-03 | 1996-06-25 | Motorola, Inc. | Operational methods for a secure node in a computer network |
US5530703A (en) * | 1994-09-23 | 1996-06-25 | 3Com Corporation | Remote communication server with automatic filtering |
US5913024A (en) * | 1996-02-09 | 1999-06-15 | Secure Computing Corporation | Secure server utilizing separate protocol stacks |
US6216231B1 (en) * | 1996-04-30 | 2001-04-10 | At & T Corp. | Specifying security protocols and policy constraints in distributed systems |
US6205148B1 (en) * | 1996-11-26 | 2001-03-20 | Fujitsu Limited | Apparatus and a method for selecting an access router's protocol of a plurality of the protocols for transferring a packet in a communication system |
US6125122A (en) * | 1997-01-21 | 2000-09-26 | At&T Wireless Svcs. Inc. | Dynamic protocol negotiation system |
US6055575A (en) | 1997-01-28 | 2000-04-25 | Ascend Communications, Inc. | Virtual private network system and method |
US6304973B1 (en) * | 1998-08-06 | 2001-10-16 | Cryptek Secure Communications, Llc | Multi-level security network system |
JP2000315997A (en) * | 1999-04-30 | 2000-11-14 | Toshiba Corp | Encryption communication method and node unit |
US6871284B2 (en) * | 2000-01-07 | 2005-03-22 | Securify, Inc. | Credential/condition assertion verification optimization |
DE10028715B4 (en) * | 2000-06-08 | 2005-08-11 | Siemens Ag | Method for communication between communication networks |
US20020078371A1 (en) * | 2000-08-17 | 2002-06-20 | Sun Microsystems, Inc. | User Access system using proxies for accessing a network |
US6996841B2 (en) * | 2001-04-19 | 2006-02-07 | Microsoft Corporation | Negotiating secure connections through a proxy server |
US6934702B2 (en) * | 2001-05-04 | 2005-08-23 | Sun Microsystems, Inc. | Method and system of routing messages in a distributed search network |
CN1268088C (en) * | 2001-11-29 | 2006-08-02 | 东南大学 | PKI-based VPN cipher key exchange implementing method |
US6845452B1 (en) * | 2002-03-12 | 2005-01-18 | Reactivity, Inc. | Providing security for external access to a protected computer network |
CN1173529C (en) * | 2002-06-05 | 2004-10-27 | 华为技术有限公司 | Protection method for controlling message safety based on message of border gateway protocol |
-
2003
- 2003-06-30 US US10/608,334 patent/US7526640B2/en not_active Expired - Fee Related
-
2004
- 2004-06-04 EP EP04102520.6A patent/EP1501256B1/en not_active Not-in-force
- 2004-06-24 JP JP2004187041A patent/JP4819328B2/en not_active Expired - Fee Related
- 2004-06-29 KR KR1020040049661A patent/KR101086576B1/en active IP Right Grant
- 2004-06-30 CN CN2004100632794A patent/CN1578215B/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005025739A (en) | 2005-01-27 |
CN1578215A (en) | 2005-02-09 |
CN1578215B (en) | 2010-05-12 |
JP4819328B2 (en) | 2011-11-24 |
US7526640B2 (en) | 2009-04-28 |
KR101086576B1 (en) | 2011-11-23 |
EP1501256A2 (en) | 2005-01-26 |
EP1501256A3 (en) | 2007-02-21 |
US20040268118A1 (en) | 2004-12-30 |
EP1501256B1 (en) | 2013-07-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101086576B1 (en) | System and method for automatic negotiation of a security protocol | |
US7356601B1 (en) | Method and apparatus for authorizing network device operations that are requested by applications | |
RU2439692C2 (en) | Policy-controlled delegation of account data for single registration in network and secured access to network resources | |
US8621567B2 (en) | Network security and applications to the fabric environment | |
US7873984B2 (en) | Network security through configuration servers in the fabric environment | |
Ertaul et al. | Security Challenges in Cloud Computing. | |
US6470453B1 (en) | Validating connections to a network system | |
US7036013B2 (en) | Secure distributed time service in the fabric environment | |
US20090052675A1 (en) | Secure remote support automation process | |
JPH09160876A (en) | Method and apparatus for mutual confirmation in lan server environment | |
US20030120915A1 (en) | Node and port authentication in a fibre channel network | |
JP2008072180A (en) | Managing method for information and information processor | |
CN100484027C (en) | Network management system and method using simple network management protocol | |
US7243367B2 (en) | Method and apparatus for starting up a network or fabric | |
CN111628960B (en) | Method and apparatus for connecting to network services on a private network | |
BRPI0615752A2 (en) | Consistent consistent provision of fire wall crossing | |
EP3580901B1 (en) | Connection apparatus for establishing a secured application-level communication connection | |
KR100555745B1 (en) | Security system and method for internet commumication between client system and sever system of specific domain | |
Bornstein et al. | Shell Protocols | |
Graupner et al. | Globus Grid and Firewalls: Issues and Solutions Globus Grid and Firewalls: Issues and Solutions in a Utility Data Center Environment1 | |
KR20050078834A (en) | A vpn technology using messenger program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20141017 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20151016 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20161019 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20171018 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20181018 Year of fee payment: 8 |